Security

Wurm nutzt Remote-Desktop Funktionalität aus um sich zu verbreiten

Morto scannt RDP Schnittstellen auf unsichere Passwörter

Derzeit treibt ein neuer Wurm sein Unwesen, welcher Rechner auf offene RDP Ports checkt und falls dieser gefunden wird – Logins mit der Kennung Administrator und diversen häufig genutzten Passwörtern durchführt.

Ist die Attacke erfolgreich, generiert Morto ein Laufwerk “A” welches er als Network-Share benutzt. Über diese werden dann Files abgelegt, welche zur weiteren Verbreitung dienen und scheinbar diverse Domains abhören um neue Kommandos zu empfangen.

Solltet ihr im Netzwerk erhöhten RDP Traffic feststellen, solltet ihr den betroffenen Rechner auf folgende Dinge checken:

%Windows%\clb.dll
%Windows%\clb.dll.bak
%windows%\temp\ntshrui.dll
<system folder>\sens32.dll
c:\windows\offline web pages\cache.txt

Privat-Anwender dürften vor diesem Wurm relativ sicher sein. Denn ein normaler DSL Router sollte einen Angriff des Wurms verhindern.

Mehr Infos könnt ihr hier bekommen!

 

Wurm Aliases:

Trojan horse Generic24.OJQ (AVG)

Trojan.DownLoader4.48720 (Dr.Web)

Win-Trojan/Helpagent.7184 (AhnLab)

Troj/Agent-TEE (Sophos)

Backdoor:Win32/Morto.A (Microsoft)

 

security


Tags:

  • offline web pages cache txt
  • trojan agent cache txt
  • morto c entferner
  • win32/morto c
  • w32/morto c worm
Tags

Related Articles

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Back to top button

Send this to a friend